Obecné nařízení o ochraně osobních údajů (GDPR) už je s námi řadu let. S pravidly pro zpracování osobních údajů se setkáváme každý den. V práci, ve škole, u lékaře, při nákupech, v bance i při komunikaci se státní správou. Kromě toho máme k GDPR řadu nových metodik, výkladů, rozhodnutí a judikátů.
Některé časté omyly a nepřesnosti, se kterými jsme se setkávali v době implementace GDPR v letech 2016-2018, už odnesl čas. Z auditů, školení a konzultací, které realizovala společnost TayllorCox v oblasti GDPR, compliance a ochrany informací, ale vyplývají nové problémy a systematické nedostatky.
Tyto chyby představují velké riziko, od pokut, přes povinnost nahradit škodu dotčeným osobám, až po negativní dopad na reputaci.
Jaké jsou časté GDPR omyly a nedostatky?
1) GDPR už máme dávno hotové a implementované
Pamatujete?
V roce 2018 jste posílili zabezpečení svých systémů a aplikací, jmenovali pověřence pro ochranu osobních údajů, doplnili smlouvy se zpracovateli a nastavili proces pro výmaz dat.
Myslíte, že máte hotovo? To je velký omyl!
Soulad s GDPR není stav, ale funkční proces. Souladu nelze jednou provždy dosáhnout, ale je nutné nastavit soustavu kroků a postupů, které budou dodržování GDPR průběžně zajišťovat.
2) GDPR je jen pro velké firmy
Výrobní podnik nebo menší společnost obvykle zpracovává menší počet osobních údajů. A méně často řeší i bezpečnostní incidenty, posouzení vlivu na ochranu osobních údajů (DPIA) nebo využívá dodavatele s přístupem k osobním údajům. To ovšem neznamená, že by střední a menší podniky měly GDPR požadavky neřešit nebo řešit jen ad hoc.
Důležité je nastavit přiměřený systém pro správu osobních údajů, průběžně evidovat datové toky, základní procesy popsat ve vnitřních předpisech a připravit si alespoň základní dokumenty, šablony a postupy. Pak bude každá společnost připravena i na situaci, kdy u ní bývalý zaměstnanec uplatní právo na výmaz osobních údajů.
3) Vedení společnosti se nemusí GDPR zabývat
GDPR je totiž starostí IT. Nebo HR, produktu či compliance. A vedení organizace se nemusí o nic starat.
Opravdu je to pro top management takto jednoduché?
Ne, není.
GDPR je záležitostí všech lidí a útvarů ve firmě či veřejné instituci. S osobními údaji totiž přijdou do styku skoro všude, od podatelny, přes IT, až po personální úsek. Úplně každý zaměstnanec může být svědkem incidentu, úniku nebo ztráty osobních údajů. Všichni jsou odpovědní za to, že s osobními údaji budou nakládat dle zavedených postupů a pravidel. A vedení je odpovědné za to, že celý proces pro zajištění souladu s GDPR bude efektivní, účinný a bude pokrývat všechny důležité oblasti činnosti dané organizace.
4) GDPR má na starosti pověřenec pro ochranu osobních údajů
Další častou chybou, kterou při auditech a školeních řešíme, je přesvědčení, že za „celé to GDPR“ je odpovědný pověřenec pro ochranu osobních údajů. Právě a pouze pověřenec musí mít přehled o využití a předávání osobních dat, znát a kontrolovat všechny procesy, analyzovat IT architekturu, reagovat na bezpečností incidenty a uplatnění práv subjektů údajů. A navíc to musí všechno dokumentovat, školit zaměstnance a radit businessu.
Jmenováním pověřence se ale nejvyšší management odpovědnosti nezbaví. Naopak, pověřenec pro ochranu osobních údajů by měl být tím, kdo monitoruje souladu činnosti ostatních útvarů a týmů s GDPR a navrhuje nápravná opatření, když zjistí chybu či problém. A k tomu by měl mít dostatečné kapacity, zdroje a možnosti. Což v praxi bohužel nebývá pravidlem.
Malé kapacity a nedostatečné zapojení pověřence je porušením GDPR. A hrozí za něj vysoké pokuty.
5) GDPR slepota
GDPR je důležité, to je pravda. GDPR je obecné nařízení, které dopadá na všechny sektory a správce a zpracovatele, téměř bez výjimky. Jako takové proto obsahuje obecné principy, jak se mají osobní údaje zpracovávat. Řada specifických požadavků a pravidel je upravena v dalších právních předpisech. Pravidla pro marketing, cookies, pro zpracování osobních údajů na finančních trhu, ve školství, ve zdravotnictví, ve veřejné správě a samosprávě… Pokračovat bychom mohli dlouho.
Čas od času přesto narážíme na „GDPR slepotu“. Organizace nebo pověřenec znají jenom GDPR a sektorovou regulaci při nastavování a výkladu pravidel pro zpracování a správu dat nepoužijí. Z toho vyplývá jak riziko sankce za nedodržení příslušné regulace, tak i zhoršená konkurenční pozice oproti těm, kteří proces pro správu dat uchopí komplexně, jako součást celkového compliance management systému (CMS) a kteří zohlední všechny právní požadavky.
6) GDPR nerovná se informační bezpečnost!
Bezpečnost informací je dnes pro každého klíčovou součástí businessu. Chválíme každou organizaci, která zavádí ucelený systém řízení bezpečnosti informací (Information Security Management System, ISMS). Uchrání tím své byznys procesy, aktiva, interní informace i klientská data. A bude připravena na novou kyberbezpečnostní regulaci, od směrnice NIS2 až po nařízení DORA.
Perfektní zabezpečení osobních údajů nezajišťuje soulad s GDPR.
GDPR totiž vyžaduje mnohem víc. Definování účelů a právních důvodů pro zpracování osobních údajů, shromažďování a uchování osobních dat jen v minimálním rozsahu, poskytování informací (transparentnost) zpracování vůči všem dotčeným osobám, nastavení procesu pro vyřizování jejich práv, specifické postupy pro využívání dodavatelů, zejména těch mimo Evropskou unii, a tak dále a tak dále.
Bez informační bezpečnosti se GDPR neobejde. Je to ale jen jeden z mnoha dílků, ze kterých se soulad s GDPR skládá.
7) Úřadům a obcím za porušení GDPR nic nehrozí
Ministerstva, kraje ani obce za porušení GDPR nemohou dostat pokutu. To je pravda, takovou výjimku v zákoně č. 110/2019 Sb., o zpracování osobních údajů, skutečně máme. Tato výjimka bohužel v praxi někdy vede k tomu, že veřejné instituce zpracování osobních údajů podceňují. Jejich pověřenec má málo zdrojů, do důležitých agend a procesů není vůbec zapojen a GDPR požadavky jsou upozaďovány.
Ignorovat GDPR jen proto, že veřejná instituce nemůže za jeho porušení dostat pokutu, je velmi krátkozraké. Nedostatečné ochrana osobních údajů totiž může vést k tomu, že Úřad pro ochranu osobních údajů milé veřejné instituci uloží nápravná opatření. Například smazat osobní údaje, k jejichž zpracování nemá instituce oporu v zákoně. Nebo urychleně zavést bezpečnostní opatření, která mohou být dosti drahá. A to už nemluvíme o kontrole od nadřízeného orgánu, reputačních problémech či postihu za porušení souvisejících regulací a pravidel, například v oblasti kybernetické bezpečnosti.
8) Žádost o přístup k údajům budeme řešit, až se někdo ozve
Ano, dnes třeba žádostí klientů o přístup nebo výmaz osobních údajů řešíte málo. Jednotky za měsíc či kvartál. A vždycky „se to nějak udělá“, váš pověřenec se domluví s IT nebo back-officem a žádost vyřídí. Někdy dokonce i v GDPR lhůtě 30 dní.
Co když se ale něco změní? Kvůli negativnímu článku v novinách, příspěvku na sociální síti, bezpečnostnímu incidentu, který se u vás stane, negativní mediální kampani? A žádostí přijdou desítky za měsíc? Vždy je lepší být připraven, definovat základní proces, postupy jednotlivých útvarů a připravit si šablony a formuláře, které komunikaci s klienty usnadní a urychlí. Protože kdo je připraven, není překvapen.
9) GDPR je drahé
Setkáváme se i s přístupem, že GDPR znamená jenom náklady. Náklady, které by jinak společnost mohla investovat do rozvoje produktů. Kvůli GDPR organizace musí zavádět a udržovat komplexní procesy, postupy, dokumentaci a školení. A to ji brzdí.
Skutečně, k GDPR lze přistoupit jako k drahé (a otravné) záležitosti, kvůli které je nutno implementovat nové procesy, postupy a předpisy. Anebo je možné GDPR řešit chytře a efektivně. Využít procesy a nástroje, které už organizace má, nebo které potřebuje kvůli dalším regulacím a standardům, jako je zákon o kybernetické bezpečnosti (a v budoucnu NIS2), ESG, ISMS a další.
Chcete příklad? Ověřování a kontrola dodavatelů, řízení aktiv, zabezpečení interních informací, rychlé řešení bezpečnostních incidentů…
Různé právní předpisy a nařízení často mají velmi podobné požadavky, které lze vyřešit jedním komplexním procesem. Není nutné dodavatele kontrolovat jednou kvůli GDPR, podruhé kvůli NIS2 a potřetí kvůli ESG. Úplně stačí vendor check nastavit tak, aby zahrnoval vše důležité. A vyřešit všechno najednou.
10) GDPR nejde certifikovat
Jedním z cílů GDPR bylo posílit seberegulaci správců a zpracovatelů osobních údajů. Motivovat k vydávání kodexů dobré praxe pro zpracování dat v jednotlivých sektorech. A certifikovat soulad s GDPR pro konkrétní postupy a nástroje.
Konkrétní postupy a prováděcí dokumenty ale bohužel stále nebyly vyjasněny. GDPR certifikace tak není možná… Nebo snad ano?
Ano, soulad s GDPR lze certifikovat. A tím jednoznačně doložit svým klientům, obchodním partnerům, investorovi či mateřské společnosti, že práci s osobními údaji berete vážně a řídíte se všemi právními požadavky. Slouží k tomu norma ISO/IEC 27701. Jedná se o nadstavbu, rozšíření norem a certifikace dle ISO řady 27000, které upravují systém řízení bezpečnosti informací. Právě norma ISO/IEC 27701 pravidla ISMS uplatňuje na osobní údaje a reaguje na požadavky obecně závazných předpisů a regulatorních požadavků, tedy i na požadavky GDPR.
